零信任配合堡垒机做单点登录实例

零信任配合堡垒机做单点登录实例

一．场景描述

1. 客户新采分离式零信任和堡垒机，想要通过登录零信任后可以使用零信任用户的账号密码单点登录到堡垒机，在保障运维安全的前提下减少登录的繁琐

2. 零信任版本SDP2.5.16.141 Build20250815

   堡垒机版本3.0.12 20241220

二．配置思路

1. 首先将分离式零信任部署完成具有发布业务能力，发布堡垒机443端口资源，配置单点登录信息

2. 堡垒机部署完成并且可以和零信任可以通信，配置内网资源，客户需求堡垒机运维账号需要零信任代填，所以在堡垒机新增和零信任用户一样的用户名和密码

三．配置步骤

1. ①堡垒机新增用户（和零信任用户账号密码一致）②新增资源并关联此用户

2. ①零信任发布隧道资源

3. ①代理设置将标准隧道改为HTTP/HTTPS隧道②选择证书为内置web证书即可

4. ①开启单点登录，选择精准识别模式②填写堡垒机登录界面url

  ②定义控件界面，控件填写值为零信任的账号密码，控件匹配规则需要打开堡垒机登录界面按F12选择用户名或者密码框查询实际的参数字段

③sso_config_case是一个避免一个已知问题的通用配置，存在一种情形登录框为表单形式，实际为ajax提交（F12查看登录框为form表单形式，network中有登录的ajax请求），此种情形现象为出现刷新页面导致登录失败的情形（闪一下又回到了登录页）。需要配置sso_config_case属性

5. 以上操作完成后保存，新建零信任用户关联堡垒机资源（和堡垒机侧账号密码保持一致）

6. 验证效果，登录零信任客户端后可以看到堡垒机资源，点击堡垒机资源可以免登录直接跳转到堡垒机资源界面，实现单点登录